Un profilo di sicurezza è una policy globale personalizzata a cui si applicano le regole firewall di intercettazione per il traffico intercettato.
I profili di sicurezza definiscono il modo in cui il servizio Network Security Integration gestisce il traffico di rete. Utilizza i profili di sicurezza per associare un gruppo di endpoint alla rete Virtual Private Cloud (VPC). Se utilizzato con una regola firewall, un profilo di sicurezza indirizza il traffico di rete al gruppo di endpoint di intercettazione.
Questa pagina fornisce una panoramica dettagliata dei profili di sicurezza e delle loro funzionalità.
Specifiche
I profili di sicurezza hanno le seguenti specifiche:
Il nome di un profilo di sicurezza è configurato nel seguente formato di identificatore URL:
A livello di organizzazione:
organizations/ORGANIZATION_ID/locations/global/securityProfiles/NAMEA livello di progetto (anteprima):
projects/PROJECT_ID/locations/global/securityProfiles/NAME
Il
NAMEdel profilo di sicurezza deve soddisfare i seguenti requisiti:- Una stringa di lunghezza compresa tra 1 e 63 caratteri
- Contiene solo caratteri alfanumerici minuscoli o trattini (-)
- Inizia con una lettera
Esempi:
- Profilo di sicurezza a livello di organizzazione:
organizations/2345678432/locations/global/securityProfiles/example-security-profile. - Profilo di sicurezza a livello di progetto (anteprima):
projects/my-project-123/locations/global/securityProfiles/example-security-profile.
Se utilizzi l'identificatore URL univoco per il nome del profilo di sicurezza, l'URL include già l'organizzazione o il progetto e la località. Se specifichi solo il nome breve, devi fornire separatamente l'ID organizzazione o l'ID progetto e la località quando utilizzi i comandi
gcloud.Dopo aver creato un profilo di sicurezza, collegalo a un gruppo di profili di sicurezza. Questa policy del firewall di rete della rete VPC fa riferimento al profilo di sicurezza per elaborare il traffico di rete all'interno di Network Security Integration.
Il traffico che corrisponde alla regola della policy del firewall di rete viene inviato al gruppo di endpoint a cui fa riferimento il profilo di sicurezza.
Associa ogni profilo di sicurezza a un ID progetto. Il progetto associato viene utilizzato per le quote sulle risorse del profilo di sicurezza. Se autentichi il tuo account di servizio utilizzando il
gcloud auth activate-service-accountcomando, puoi associare il tuo account di servizio al profilo di sicurezza. Per scoprire di più su come creare un profilo di sicurezza, consulta Creare e gestire profili di sicurezza personalizzati.
Ruoli Identity and Access Management
La seguente tabella descrive i ruoli Identity and Access Management (IAM) necessari per la gestione dei profili di sicurezza:
| Capacità | Ruolo necessario |
|---|---|
| Crea un profilo di sicurezza di intercettazione personalizzato | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin) nell'organizzazione o nel progetto in cui vuoi creare un profilo di sicurezza personalizzato. |
| Modifica un profilo di sicurezza di intercettazione personalizzato | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione o nel progetto in cui esiste il profilo di sicurezza personalizzato
|
| Visualizza i dettagli del profilo di sicurezza di intercettazione personalizzato in un'organizzazione o in un progetto | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione o nel progetto in cui esiste il profilo di sicurezza personalizzato
|
| Visualizza tutti i profili di sicurezza di intercettazione personalizzati in un'organizzazione o in un progetto | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione o nel progetto in cui esiste il profilo di sicurezza personalizzato
|
| Utilizza un profilo di sicurezza di intercettazione personalizzato in un gruppo di profili di sicurezza | Ruolo Amministratore del profilo di sicurezza (networksecurity.securityProfileAdmin)
nell'organizzazione o nel progetto in cui esiste il profilo di sicurezza personalizzato
|
Se non hai il
ruolo Amministratore del profilo di sicurezza
(roles/networksecurity.securityProfileAdmin), puoi creare un profilo di sicurezza di intercettazione personalizzato con le seguenti autorizzazioni:
networksecurity.securityProfiles.createnetworksecurity.securityProfiles.deletenetworksecurity.securityProfiles.getnetworksecurity.securityProfiles.listnetworksecurity.securityProfiles.updatenetworksecurity.securityProfiles.use
Per saperne di più sulle autorizzazioni IAM e sui ruoli predefiniti, consulta il riferimento alle autorizzazioni IAM.
Quote
Per visualizzare le quote associate ai profili di sicurezza di intercettazione personalizzati, consulta Quote e limiti.
Passaggi successivi
- Crea e gestisci gruppi di profili di sicurezza
- Crea e gestisci profili di sicurezza di intercettazione personalizzati